В сети появилась интересная зараза.Осторожно

[0eck]

Исследователи обнаружили новый руткит, который замораживает жесткий диск ко

Эксперты из вьетнамской IT-компании Bkav обнаружили и проанализировали новый руткит, который использует новый механизм защиты: «замораживание» жесткого диска компьютера жертвы. Помимо этого, вредоносная программа также изменяет иконку жесткого диска.
Впоследствии вирус запускает несколько исполняемых модулей, которые исполняют основные функции вредоносных программ и способствуют их распространению. Одни из них PassThru – драйвер сетевого модуля, который блокирует или перенаправляет пользователя на определенные web-сайта. Модуль Wininite подключается к C&C-серверам и получает от них команды. Один из этих серверов расположен в Китае, а один в США, сообщает

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

.
DiskFit – это модуль, который каждый раз после перезагрузки компьютера восстанавливает жесткий диск компьютера до статуса, который был до инфицирования ПК. Помимо этого, DiskFit также создает на компьютере жертвы область для хранения кэшированных данных, в которой хранится информация о всех операциях осуществляемых пользователем. Таким образом, пользователь не может вносить изменения в данные на оригинальном диске.
Каждый раз, когда пользователь проводит перезагрузку компьютера, все его действия на системе удаляются, будь то создание и загрузка новых документов или установка программного обеспечения.

 

[0eck]

В чипах Intel обнаружен "аппаратный троянец"


Независимая группа исследователей говорит, что ей удалось создать специальную технику, которая саботирует криптографические возможности современных процессоров Intel Ivy Bridge. Техника работает без внесения физических модификаций в чип и не требует размещения в компьютере дополнительного оборудования. Авторы методики говорят, что их подход позволяет полностью скомпрометировать системы аппаратной безопасности Пентагона, где аппаратные процессорные шифраторы применяются около 8 лет.Правда, пока созданная техника - это в большей степени концептуальный подход и для его практического использования придется применять другие вспомогательные методики хакинга. В своем руководстве авторы говорят, что их исследование - это стартовая точка для дальнейших работ в направлении так называемых аппаратных троянцев. На сегодня в ИТ среде не так много работ, посвященных крэкингу аппаратных решений, таких как процессоры, с целью внедрения секретных инженерных ключей, пишет

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

.

В своей работе исследователи говорят о создании двух похожих бэкдоров, которые можно встроить в инструкции процессора, чтобы тот передавал шифруемые данные по обводным каналам и информация, которая по логике вещей должна быть защищена, таковой не оказывается. При этом ни антивирус, ни операционная система никакого подвоха не замечают. Авторы говорят, что если бы они опубликовали свои изыскания еще полгода назад, на них смотрели бы под одни углом, но сейчас, когда вокруг американской разведки один за одним вспыивают скандалы с прослушками, данные сведения выглядят более остро. Является ли это багом чипмейкера или же это специальный лаз, который был оставлен для АНБ или ЦРУ, чтобы те могли проще декодировать чужие данные, которые должны были бы быть нечитаемыми для внешних зрителей.

Так или иначе, но атака работает против генератора случайных чисел, встроенного в процессоры Intel Ivy Bridge. Данный блок является аппаратным и был создан в Intel. Модифицировать его без физической поломки чипа нельзя. Эксплоит при помощи нехитрых манипуляций снижает уровень энтропии (случайного подбора) в блоке со 128 до 32 бит. Очевидно, что чем меньше исходная вариативность, тем проще угадать ключ. На практике это значит, что потенциальный атакующий может вскрыть ключ энтропии в разы быстрее, чем должен был бы.

Отметим, что данный генератор случайных чисел был проверен в рамках так называемого Built-In Self-Test на заводе производителя, а также одобрен американским Национальным Институтом стандартов и технологий NIST. Сам NIST буквально на днях погорел на том, что в сертифицированном им алгоритме шифрования была найдена АНБ-ориентированная закладка, которая компрометировала криптоалгоритм. В NIST отказались комментировать наличие бэкдоров.

Авторы доклада говорят, что они намеренно не делают заключений о том, является ли баг в RNG чипов Intel ошибкой или злым умыслом, оставляя суждения на суд читателей. Также они не пока по понятным соображениям не публикуют в открытом доступе эксплоиты, но они говорят, что для того, чтобы открыть возможность взлома, в процессоре нужно в определенной последовательности выполнить всего пару десятков команд. Точно также они говорят, что с аппаратной точки зрения изменение логики работы чипа - это релокация нескольких десятков транзисторов из более чем миллиарда транзисторов на чипе.

Также они говорят, что изюминка данного бага в том, что он спрятан на столько низкоуровнево, что ниже уже просто невозможно, поэтому выявить его было непросто, хотя сама по себе реализация там несложная. Также в работе авторы ничего не указывают про чипы AMD и других производителей.

 

[BioNIX]

Обнаружена крупнейшая в мире бот-сеть из Android
Специалисты компании «Доктор Веб» обнаружили самую крупную в мире бот-сеть из инфицированных мобильных устройств на базе ОС Android. На сегодняшний день известно о более чем 200 000 смартфонах, которые были заражены вредоносными программами семейства Android.SmsSend и входят в ее состав.
Основной источник заражения в этом случае – принадлежащие злоумышленникам или взломанные интернет-ресурсы. Наибольшее число инфицированных устройств принадлежит российским пользователям, на втором месте по данному показателю располагается Украина, далее следуют Казахстан и Белоруссия. По предварительным оценкам ущерб, нанесенный пользователям злоумышленниками в результате данного инцидента, может исчисляться многими сотнями тысяч долларов.
Для заражения мобильных устройств и включения их в состав бот-сети злоумышленники использовали несколько вредоносных приложений: среди них новый троянец Android.SmsSend.754.origin.
Троянец Android.SmsSend.754.origin представляет собой apk-приложение с именем Flow_Player.apk. Устанавливаясь в операционной системе, он просит пользователя запустить данную программу с привилегиями администратора устройства – это позволит вредоносному приложению осуществлять управление блокировкой дисплея. Кроме того, Android.SmsSend.754.origin в дальнейшем скрывает свой значок с главного экрана мобильного устройства.
После завершения процедуры установки троянец отправляет злоумышленникам информацию об инфицированном устройстве, включая уникальный идентификатор IMEI, сведения о балансе, код страны, номер телефона жертвы, код оператора, модель мобильного телефона и версию ОС. Затем Android.SmsSend.754.origin ожидает поступления от злоумышленников соответствующей команды, по которой он может отправить СМС-сообщение с определенным текстом на заданный номер, выполнить СМС-рассылку по списку контактов, открыть заданный URL в браузере или продемонстрировать на экране мобильного устройства сообщение с определенным заголовком и текстом.
По сведениям, собранным специалистами компании «Доктор Веб», в бот-сеть на сегодняшний день входит более 200 000 мобильных устройств, работающих под управлением Google Android, при этом наибольшая их часть (128 458) принадлежит российским пользователям, на втором месте располагается Украина с показателем 39 020 случаев заражения, на третьем – Казахстан: здесь от действий злоумышленников пострадали 21 555 пользователей. Более подробная картина распространения угроз показана на следующей иллюстрации.

Распределение инфицированных мобильных устройств по операторам мобильной связи, к которым они подключены, продемонстрировано на представленной ниже диаграмме.

Это – один из наиболее массовых случаев заражения Android-совместимых мобильных устройств, зафиксированных в текущем полугодии. По предварительным оценкам специалистов «Доктор Веб» ущерб, нанесенный пользователям злоумышленниками в результате данного инцидента, может исчисляться многими сотнями тысяч долларов.
В настоящий момент все описанные выше угрозы детектируются и удаляются антивирусным ПО Dr.Web. Пользователям мобильных Android-устройств во избежание заражения рекомендуется не загружать и не устанавливать ПО с подозрительных веб-сайтов. Специалисты компании «Доктор Веб» следят за дальнейшим развитием ситуации.

 

[0eck]

Eset предупреждает о трехкратном всплеске активности вымогателя FileCoder

Международная антивирусная компания ESET сообщает о стремительном росте активности опасной троянской программы FileCoder, которая шифрует личные файлы пользователя с целью получения выкупа за расшифровку. Большую часть пострадавших составляют российские пользователи.
Эксперты компании ESET зафиксировали необычный всплеск активности семейства вредоносных программ Filecoder. Согласно данным, полученным при помощи облачной технологииESET Live Grid, активность Win32/Filecoder по сравнению со средним уровнем, зафиксированным в первой половине 2013 года, возросла более чем на 200%.
От данной активности больше всего пострадали пользователи из России. По данным ESET, на нашу страну приходится 44% обнаружений. Кроме того, значительная доля заражений зафиксирована в Европе – от вымогателей FileCoder пострадали пользователи из Германии, Испании, Италии, Польши, Румынии, Украины и Чехии. Также заражения этим вредоносным ПО были отмечены в США.

Диаграмма активности Win32/FileCoder в разных странах

Попав на компьютер, троян шифрует файлы пользователя, по расширению выбирая те, которые с наибольшей вероятностью представляют для него ценность: как правило, это документы, фотографии, музыкальные файлы и различные архивы.
В информационном окне трояна киберпреступники могут сообщить, что доступ к компьютеру пользователя ограничен, поскольку данный ПК является источником чрезвычайно опасного вируса или распространяет ссылки на детскую порнографию. За «чрезвычайно тяжелую работу по детектированию вируса» от пользователя могут потребовать заплатить от 100 до 3 000 евро.
«Семейство Win32/Filecoder представляет большую угрозу, чем другие разновидности блокеров-вымогателей, поскольку могут шифровать файлы пользователя. Разные модификации FileCoder используют разные по сложности алгоритмы шифрования, - говорит Роберт Липовски, аналитик антивирусной лаборатории ESET. - Суммы выкупа варьируются от 100 до 200 евро, однако некоторые варианты могут запрашивать суммы до 3 000 евро. Потребовать такой большой выкуп могут в тех случаях, когда зараженный компьютер принадлежит какой-либо компании».

«Деструктивность и последствия от заражения такой вредоносной программой трудно переоценить, так как пользователь лишается всех своих данных. Риски потери важной информации только увеличиваются, если речь идет о заражении компьютеров сотрудников компании, поскольку в этом случае может пострадать корпоративная информация, - говорит Артем Баранов, ведущий вирусный аналитик ESET Russia. - Если в случае обычных вымогателей, которые блокируют рабочий стол пользователя, можно избавиться через несколько общеизвестных действий в ОС, то в случае с шифровальщиком, на это может уйти очень много времени. Все зависит от конкретной модификации FileCoder».

 

[A.V.I]

пользуюсь IE 10, веб-защита от Trend Micro Antivirus +, страница была замаскирована под офф сайт от microsoft где было предложено обновиться до версии IE 11 причем версии final .(Trend ругнулся но на автомате все равно открыл)......версия final и насторожила, что тут не чисто. Все попытки закрыть данную страницу были тщетны, пришлось глушить браузер. Результат 8 "кукишей" которые начали творить свои пошлые дела: включили UAC, открыли все скрытые папки, поменяли план электропитания, инет начал работать не пойми как.......... спасибо Hitman выручил как всегда............БУДТЕ ОСТОРОЖНЫ !!!!!!! вот с такой какой пришлось встретиться..))))

 

[BioNIX]

Обнаружен новый компьютерный вирус​

Латвийская IT-компания CERT.LV, работающая с министерством обороны страны и занимающаяся информационной безопасностью, сообщала о быстро распространяющемся компьютерным вирусе, который создаёт серьёзную угрозу безопасности для интернет-банков.
В латвийском секторе интернета появился новый вирус, с помощью которого у пользователей интернет-банков крадётся персональная информация и пароли доступа к счетам.
При заходе в систему интернет-банка обычно пользователю предлагается ввести логин, пароль и код из персональной карты кодов. Если при заходе в интернет-банк появляется запрос о дополнительной информации – номере карты, PIN-коде или что-то ещё, что ранее не спрашивали, то необходимо немедленно прекратить работу с интернет-банком и связаться с представителями Банка.
Представили CERT.LV сообщили, что раньше они получили информацию, что подобный вирус распространяется через электронную почту. На почтовый ящик приходило письмо от какого-нибудь знакомого отправителя с предложением посмотреть прикрепленный файл, который на деле оказывался вирусом.
CERT.LV обращается к пользователя интернета, быть предельно внимательными и игнорировать подобные письма. Компания также напоминает, что Банки никогда не рассылают письма, требующие отправить персональные данные пользователя, номера карт, PIN-коды и прочую информацию, которая им якобы нужна для проверки безопасности, пишет "Новый регион".

 

[0eck]

НОВЫЙ ВИРУС ДЕЛАЕТ ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В GOOGLE CHROME НЕБЕЗОПАСНЫМ

Исследователи компании Identity Finder создали в своей лаборатории экспериментальный вирус, которые легко ворует пользовательскую информацию из браузера Google Chrome. В связи с этим специалисты рекомендуют быть осторожнее при вводе своих персональных данных, таких как номера банковских карт, в формы на сайтах.
Эти меры необходимы ввиду того, что Chrome хранит информацию в формате текстовых данных в журнале истории web-активности, расположенном на жестком диске. Браузер извлекает эти данные, чтобы пользователю не нужно было вводить их повторно. Однако исследователи компании Identity Finder создали экспериментальный вирус, который может красть подобную информацию и отправлять ее злоумышленникам. В связи с этим эксперты рекомендуют Google разработать механизм шифрования файлов перед их отправкой в хранилище, чтобы усложнить вирусам жизнь.
Пока что Chrome позволяет операционной системе шифровать данные, только если она соответствующим образом сконфигурирована. В среде Windows корпорация Microsoft предлагает BitLocker – инструмент полного шифрования жесткого диска. «Если бы данные шифровались, до них было бы труднее добраться», – считает Аарон Титус, глава отдела персональной информации компании Identity Finder.
В Google же заявляют, что для опасений нет никаких причин, поскольку пользователям Chrome предоставляются все средства управления тем, как хранится их информация. «Браузер спрашивает разрешения перед сохранением персональных данных, и вы без труда можете предотвратить этот процесс, – сообщают в софтверной корпорации. – Более того, данные хранятся локально, и если пользовательская платформа позволяет, надежно шифруются».
Поскольку IT-компания Identity Finder специализируется на разработке программ для управления уязвимой информацией в настольных системах, неудивительно, что она рекомендует пользователям серьезнее относиться к менеджменту своих данных. «Chrome, а также другие браузеры и приложения в целом должны больше внимания уделять технологиям контроля критически важной информации», – говорит Аарон Титус.
Другие же эксперты не считают методы обработки персональных данных в Google Chrome такой уж серьезной проблемой. «Я думаю, имеет смысл хранить историю web-активности в зашифрованном формате, чтобы предотвратить ее утечки, но риск не настолько велик, – полагает Вольфганг Кандек, технический директор компании Qualys. – Вредоносные программы, крадущие информацию с компьютера, не ограничиваются только журналом браузера. Например, опасные компоненты скорее фиксируют клавиатурные комбинации, вводимые на web-сайтах, и воруют данные из незащищенных паролем хранилищ».
По материалам сайта PC World.

 

[0eck]

Вирус-вымогатель научился заражать компьютеры через поисковик Google
Ведущий разработчик антивирусного программного обеспечения ESET сообщил о новом способе распространения троянской программы Nymaim, которая может блокировать компьютер пользователя с целью получения выкупа за расшифровку.

Как сообщается, с конца сентября 2013 года внимание экспертов привлекла уже известная вредоносная программа Nymaim - троян с функциями вымогателя.

Раньше заражение этим ПО осуществлялось при помощи известного комплекта взломщиков-эксплойтов BlackHole, которые использовали имеющиеся на компьютере уязвимости приложений или операционной системы для доставки вредоносного кода.

Однако недавно появилась информация о том, что автор комплекта BlackHole был задержан в России. Похоже, в этой связи злоумышленники стали использовать новый способ заражения пользователей.

С конца сентября было зафиксировано большое количество обнаружений этой вредоносной программы среди загруженных при помощи браузера файлов. Эксперты установили, что реферальные ссылки, ведущие на загрузку вредоносных файлов, принадлежат Google. Это означает, что перед заражением пользователь ввел в Google-поиск некий запрос и кликнул на одну из ссылок в поисковой выдаче.

Согласно результатам исследования веб-страниц, которые инициировали загрузку вредоносного кода, для масштабного заражения злоумышленники использовали т.н. "темную поисковую оптимизацию" (Black Hat SEO), с помощью которой продвигали специально созданные вредоносные страницы в топ выдачи по популярным ключевым словам.

Кликнув на такую ссылку в поисковой выдаче, пользователь перенаправляется на вредоносную страницу и инициирует загрузку архива, название которого - для повышения доверия пользователей - соответствует введенному в строку поиска тексту. Т.е. один и тот же архив будет загружен с разными именами, в зависимости от поискового запроса. Вот несколько примеров обнаруженных экспертами ESET названий одного файла:

video-studio-x4.exe
speakout-pre-intermediate-wb-pdf.exe
new-headway-beginner-3rd-edition.exe
donkey-kong-country-3-rom-portugues.exe
barbie-12-dancing-princesses-soundtrack.exe

По словам представителей ESET, Win32/Nymaim заражает систему в два этапа. Попав на компьютер, первый вредоносный файл осуществляет скрытую загрузку и запуск второго файла, который, в свою очередь, также может загружать дополнительное вредоносное ПО, а может и просто блокировать операционную систему для получения выкупа.

Аналитики обнаружили более десятка вариантов экрана блокировки, созданных на разных языках и с различным оформлением. Нетрудно догадаться, что их целью были пользователи из разных стран Европы и Северной Америки. На данный момент обнаружены экраны блокировки из Австрии, Великобритании, Германии, Ирландии, Испании, Канады, Мексики, Нидерландов, Норвегии, Румынии, Франции и США. Однако, этот список не является окончательным – скорее всего, существуют пострадавшие и в других странах. Пользователь из любой страны может быть заражен.

Интересно, что стоимость выкупа отличается для разных стран. В большинстве из найденных экранов блокировки цена выкупа составляет около 150 долларов, однако пользователей из США просят заплатить за разблокировку самую высокую цену - 300 долларов; в Румынии же зараженный пользователь может отделаться "всего лишь" 100 евро, т.е. около 135 долларов.

Эксперты отмечают, что вся активность трояна Win32/Nymaim осуществляется в рамках кампании по распространению злонамеренного ПО, в процессе которой вредоносные Apache-модули заражают легальные веб-сервера, что приводит к перенаправлению пользователей на вредоносные сайты. Эта кампания, называемая The Home Campaign, продолжается с февраля 2011 года. По данным независимых исследований, за это время злоумышленники заразили почти 3 млн компьютеров.

 

[0eck]

В Сети появился модифицированный троян Shiz

Новый вирус инфицирует систему с непонятной целью.
В настоящий момент

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

все чаще создают вредоносные программы, нацеленные на корпоративные системы управления, такие как , к примеру, ERP SAP.
Как

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

директор по безопасности

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

компании Trusteer Дана Тамир (Dana Tamir), в Сети появился новый вариант известного трояна Shiz, предоставляющего злоумышленникам удаленный доступ к компьютерам жертв, который нацелен на системы управления больших корпораций.
По словам эксперта, предыдущая версия Shiz была создана для компрометации компьютеров под управлением ОС

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

при помощи удаленно-управляемого бэкдора. Попадая в систему, вирус предоставлял создателям доступ к важной информации и позволял похищать важные

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

включая пароли и криптографические

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

при помощи которых жертва использовала сервисы online-банкинга. Новый вариант троянской программы содержит те же возможности, а также оснащен SAP-функциями, связанными с непосредственной целью, которая остается неясной.
«В настоящий момент все, что делает вирус – это проверяет систему на предмет установки SAP-приложений. Возможно, в дальнейшем эти данные будут использоваться для проведения целенаправленных атак», - заявил Александр Поляков, эксперт в области информационной безопасности в компании ERPScan.
Как отмечает Тамир, новый вид вируса вполне может быть создан для целенаправленного проникновения в корпоративные ERP-системы, похищения важной информации или нанесения ущерба.
Подробнее:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

 

[sskup]

Страфиствуйтэ, я усбекский вирюс. Па причина ужасный бедность моей создателя и низкий уровне развитиё технология в наша страна я не способин причинять какая-либа уред Вашей компютеру. Поэтому ощень прашу Уас, пажальста, сами сатрите какая-нибут важная для Уас файлу, а патом разашлиты миня па почьта другой адрисатам. Зарания благадарная за панимании и сатрудничесва!